Données personnelles

Interdiction des drones de surveillance Covid 19 | 22 juin 2020

Le Conseil d’Etat a tranché : l’Etat est enjoint de cesser de procéder aux mesures de surveillance par drone, du respect (à Paris) des règles de sécurité sanitaire applicables à la période de déconfinement tant qu’il n’aura pas apporté de garanties supplémentaires sur le volet de la protection des données personnelles. L’Etat devra soit, adopter un texte réglementaire, pris après avis de la CNIL, autorisant, dans le respect des dispositions de la loi du 6 janvier 1978 la création d’un traitement de données dédié, soit doter les appareils utilisés par la préfecture de police de dispositifs techniques de nature à rendre impossible, quels que puissent en être les usages retenus, l’identification des personnes filmées.

Contexte de l’affaire

L’unité des moyens aériens de la préfecture de police avait été engagée afin de procéder à une surveillance du respect des mesures de confinement mises en place à compter du 17 mars 2020. Depuis le 18 mars 2020, un drone de la flotte de quinze appareils que compte la préfecture de police a ainsi été utilisé quotidiennement pour effectuer cette mission de police administrative. La préfecture de police continue de recourir à ces mesures de surveillance et de contrôle dans le cadre du plan de déconfinement mis en oeuvre à compter du 11 mai 2020.

Atteinte grave et manifestement illégale aux libertés fondamentales

Le Conseil d’Etat a conclu à une atteinte grave et manifestement illégale aux libertés fondamentales. L’ensemble des vols sont réalisés à partir des quatre drones équipés d’un zoom optique et d’un haut-parleur. Lorsque le drone survole le site désigné, le télépilote procède à la retransmission, en temps réel, des images au centre de commandement afin que l’opérateur qui s’y trouve puisse, le cas échéant, décider de la conduite à tenir. Il peut également être décidé de faire usage du haut-parleur dont est doté l’appareil afin de diffuser des messages à destination des personnes présentes sur le site.

La finalité poursuivie par le dispositif litigieux a été jugée légitime (finalité qui n’est pas de constater les infractions ou d’identifier leur auteur mais d’informer l’état-major de la préfecture de police afin de prévenir le trouble à l’ordre public que constitue la méconnaissance des règles de sécurité sanitaire). Un usage du dispositif de surveillance par drone n’est pas de nature à porter, par lui-même, une atteinte grave et manifestement illégale aux libertés fondamentales invoquées. Toutefois, la captation des images en cause constitue bien un traitement de données personnelles et aucun texte n’a prévu la création de ce traitement public. 

Traitement de données personnelles hors cadre légal

Au sens de l’article 3 de la directive du 27 avril 2016 est une donnée à caractère personnel  » toute information se rapportant à une personne physique identifiée ou identifiable ».  Est réputée être une « personne physique identifiable  » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale « .

Les appareils en cause qui sont dotés d’un zoom optique et qui peuvent voler à une distance proche du public sont susceptibles de collecter des données identifiantes et ne comportent aucun dispositif technique de nature à éviter, dans tous les cas, que les informations collectées puissent conduire, au bénéfice d’un autre usage que celui actuellement pratiqué, à rendre les personnes auxquelles elles se rapportent identifiables. Dans ces conditions, les données susceptibles d’être collectées par le traitement litigieux doivent être regardées comme revêtant un caractère personnel.

Le dispositif de surveillance qui consiste à collecter des données, grâce à la captation d’images par drone, à les transmettre, dans certains cas, au centre de commandement de la préfecture de police pour un visionnage en temps réel et à les utiliser pour la réalisation de missions de police administrative constitue bien un traitement au sens de la directive, à savoir « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

Ce traitement, qui a été mis en oeuvre pour le compte de l’Etat, nécessitait une autorisation par arrêté du ou des ministres compétents ou par décret, selon les cas, pris après avis motivé et publié de la CNIL. Compte tenu des risques d’un usage contraire aux règles de protection des données personnelles qu’elle comporte, la mise en oeuvre, pour le compte de l’Etat, de ce traitement de données à caractère personnel sans l’intervention préalable d’un texte réglementaire en autorisant la création et en fixant les modalités d’utilisation devant obligatoirement être respectées ainsi que les garanties dont il doit être entouré caractérise une atteinte grave et manifestement illégale au droit au respect de la vie privée. Télécharger la décision

Haut
error: Content is protected !!